Файрвол по протоколу SSH

Обсуждение ПО и его настройки
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Коллеги, там все немного не так.

речь идет о том, что RDP работает по туннелю SSH. Данные шифруются и безопасность повышается (ну относительно). А соединение SSH можно поднимать без паролей по спец ключам. Роде бы как одни удобства. Настраивать на микротике нужно только SSH, порт маппинг для RDP не нужно.

В посте выше дана ссылка на презентацию. Там все очень хорошо описано.

Мое мнение - все это паранойя! Скорее всего это может быть использовано только для RDP под Windows XP, так как сама по себе система уже старая и это потенциальная дыра в сети. С более современными ОС, проще все сделать напрямую.

А вообще давно придуманы VPN. Все гораздо проще. И не потребуется клиентам ставить всякие Putty и PuttyGen и тому подобное. Все уже есть в винде.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

gmx писал(а):А вообще давно придуманы VPN. Все гораздо проще.


Вот и я про тоже, не понимаю зачем ССХ то использовать и велосипед изобретать?
В плане администрирования ну ок для того что бы не мудрить ВПН (если он не нужен) то можно использовать. А обычным юзерам ставить что то, объяснять. Ну честно не понимаю.


Есть интересная задача и бюджет? http://mikrotik.site
EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Ну топик стартер написал жеж - чужому человеку дать доступ)))
Хотя да... если чужой человек получит доступ к рдп, то он уже из под рдп сможет "наЧУЖить".....
А вообще, SSH туннели штука довольно удобная... Не так давно включал в себе параноика и писал батник, который делал хитрый ICMP кнокинг (для каждого юзверя свой), затем строил SSH туннель с SSH ключём, затем запускал доступ рдп клиент.... (это было до того, как в микротик был внедрён механизм отзыва сертификатов)


lissyara
Сообщения: 6
Зарегистрирован: 12 ноя 2015, 16:54

VPN бесспорно лучше, канал стабильнее, можно файрвол настроить как угодно, а еще не зная пароля на другой комп не переставишь.

но задача немного другая, доступ должен быть защищенный с любого компа, пока я придумал так:
я человеку по почте отправил 3 файла:
1-plink.exe
2-Рабочий стол.rdp
3-VPN.exe

VPN.exe это тот же батник но exe, внутренности у него такие:
@echo off
set TMPFILE=%TMP%\mytempfile-%RANDOM%-%TIME:~6,5%.tmp

(
echo PuTTY-User-Key-File-2: ssh-dss
echo Encryption: none
echo Comment: ххххххххххххххххххх
echo Public-Lines: хх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo Private-Lines: х
echo хххххххххххххххххххххххххххххххх
echo Private-MAC: хххххххххххххххххххххххххххххххххххх
)>"%TMPFILE%"

plink.exe -v -ssh -l ХХХХХХХХХХХХ -C -i "%TMPFILE%" -L 31337:192.168.0.1:3389 blabla.ru

но запретить "любопытному чужому человеку" :-): полазать где нибудь еще внутри моей сети я не могу, он с легкостью может создать батник, скопировать ключ, и поменять эти настройки "31337:192.168.0.1:3389", и микротик ему это не запретит.


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Другой вопрос не сунется ли любопытный куда либо уже будучи на терминале?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

И опять я ни фига не понимаю. Ну зачем вам давать доступ на Микротик, даже урезанный. Ну прочитайте мой пост, пжлст.
1. Пробрасываем от машины к которой нужен доступ наружу порт для ssh ( наружу будет смотреть нестандартный порт, поэтому долбиться не должны)
2. На самой машине заводим юзера и обрезаем ему права до ( ну сами решите, насколько его ограничить) , лишь бы он мог зайти по ssh и подключить рабочий стол.
3. Даем параметры доступа вашему юзеру, пусть ходит на эту машину.
4. Дабы снизить риск и порадовать паранойю на Микротике применяем доступ по нестандартным портам и сложному паролю.
И теперь еще раз, где в этой схеме место вашему любопытному человеку? Или я опять что-то недопонял? Зачем на самом Тике юзера заводить?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да скорее всего у ТС несколько RDP в сети.
Вот он и поднимает SSH до микротика, а потом подключается к нужному RDP.


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Я бы настаивал на VPN соединении. Можно отправлять клиентов в отдельную подсеть/vlan, отгороженную от всего, кроме конкретных нужных хостов/портов.
Опять таки, если мы говорим о заботе о пользователях, то можно использовать Ovpn и давать им предварительно подготовленный клиент со всеми необходимыми настройками.
И пользователям удобно и базовые требования безопасности соблюдены.


lissyara
Сообщения: 6
Зарегистрирован: 12 ноя 2015, 16:54

podarok66 писал(а):И опять я ни фига не понимаю. Ну зачем вам давать доступ на Микротик, даже урезанный. Ну прочитайте мой пост, пжлст.
1. Пробрасываем от машины к которой нужен доступ наружу порт для ssh ( наружу будет смотреть нестандартный порт, поэтому долбиться не должны)
2. На самой машине заводим юзера и обрезаем ему права до ( ну сами решите, насколько его ограничить) , лишь бы он мог зайти по ssh и подключить рабочий стол.
3. Даем параметры доступа вашему юзеру, пусть ходит на эту машину.
4. Дабы снизить риск и порадовать паранойю на Микротике применяем доступ по нестандартным портам и сложному паролю.
И теперь еще раз, где в этой схеме место вашему любопытному человеку? Или я опять что-то недопонял? Зачем на самом Тике юзера заводить?

Спасибо за идею, как понимаю для ее реализации надо на винду с РДП установить SSH сервер, а уж ее выставить наружу.

Пока у меня не было опыта эксплуатации такой конструкции, никогда не приходилось ставить ssh на винду, в общем то с тем же успехом можно просто rdp наружу выставить помоему.


Ответить